Mise en place dun VPN PPTP-EAP (v2)

Tutorial conu et rdig par Michel de CREVOISIER

SOURCES

Step by step deployement guide by Microsoft :

http://technet.microsoft.com/en-us/library/cc787328%28WS.10%29.aspx

Dpannage des incidents VPN communs :

http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-related-errors.aspx

Commandes netsh pour l'accs distant :

http://technet.microsoft.com/fr-fr/library/cc738607%28WS.10%29.aspx

Prambule

En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas dtaille la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et pensez crer une zone de recherche inverse. Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1 Entreprise (jinsiste sur Entreprise pour la gestion des certificats), vous pouvez tlcharger une dmo ici depuis le site officiel de Microsoft. Vous pouvez mme le tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC. Notez par ailleurs quil est recommand de ne pas installer le VPN sur le serveur Active Directory. Attention, mes serveurs sont installs en anglais, donc je vous recommande dopter pour cette langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en anglais ici pour ne pas perdre le fil En revanche, mon poste client sous Windows Seven est bien en franais. Pour ce tuto, jutiliserai deux serveurs, le principal (avec Active Directory et DNS) nomm DC1 et celui o le VPN sera install, nomm VPN1. Quant au poste client (Vista SP1 ou Seven minimum), il sera nomm CLIENT1. VPN1 devra obligatoirement tre joint au domaine cre par DC1. En revanche, cela nest pas ncessaire pour le poste client VPN1. Enfin, sachez que ce tuto est destin tre mis en place dans un environnement particulier ou PME. En effet, pour les grandes entreprises, il est recommand de sacquitter des certificats auprs dune autorit comptente, de disposer dune DMZ et de possder un serveur avec de deux cartes rseau places dans des rseaux diffrents. Tout ceci pour des raisons de scurit.

I. Installation de DC1

IP : 192.168.0.10

1. Rles installer (non dtaill) Les rles installer sur le serveur DC1 sont les suivants :

Active Directory Domain Services (dcpromo)

DNS avec zone de recherche inverse Si vous ne savez pas comment procder ou si vous souhaitez plus dinformations concernant linstallation dun serveur DNS, vous pouvez lire mon tuto intitul : Serveur DNS redondants (tuto de A Z) disponible dans ma bibliothque Scribd.

2. Cration dun groupe de scurit ddi au VPN Il est vivement recommand de crer un groupe de scurit afin de restreindre les accs au VPN ce seul groupe. Par ailleurs, cela vite de devoir configurer individuellement chaque utilisateur souhaitant se connecter au VPN. Appelez ce groupe GS_VPN .

3. Cration dun compte utilisateur ddi au VPN Crez un compte AD nomm user-pptp (un compte utilisateur normal suffit). Ensuite, joignez ce compte au groupe GS_VPN cr pralablement.

4. Attribution dune IP statique Lorsquun utilisateur se connecte au VPN, il est indispensable quil dispose dune IP dynamique ou statique. Pour affecter une IP statique :

Ouvrir la console Active Directory > clic droit sur [user-pptp] > Properties > Onglet Dial-in

Cochez la case Assign Static IP Addresses

La fentre suivante souvre :

Renseignez ensuite lIP fournir pour cet utilisateur

Attention ne pas indiquer une IP faisant partie dune plage DHCP

II. Configuration de Active Directory Certificate Services

IP : 192.168.0.20 Pensez intgrer VPN1 au domaine de DC1

1. Ajout du rle Active Directory Certificate Services :

Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur

Add roles ( droite)

Vous pouvez galement opter pour une clef de 4096 et un hash en SHA512 (ne pas changer le type de CSP)

A vous dopter pour la dure de votre choix. 10 annes me paraissent correctes.

2. Configuration dInternet Explorer A excuter en tant quadministrateur si vous avez lUAC dactiv : clic droit sur IE > Run as administrator .

Tools > Options > Security > Local intranet > LOW

3. Activation du site de distribution des certificats sous IIS 7.5

Lancer IIS Manager

Cliquer sur Default Web Site

Puis sur Directory Browsing

Cliquer sur Enable ( droite)

4. Demande de certificat

Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise

Cliquer sur Request a certificate

Puis sur Advances certificate request

Cliquer sur Create and submit a request to this CA

Acceptez les ActiveX

En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com)

Dans Type of certificate needed, mettre Server Authentification Certificate

Cochez la case Mark key as exportable Vous pouvez augmenter la taille de clef jusqu 16384 !!!

Cliquez sur Submit en bas droite

Votre demande est maintenant en attente de validation

5. Validation du certificat

Ouvrir Certification Authority dans Administrative Tools du menu dmarrer

Cliquer sur Pending request

Puis clic droit sur le certificat > All tasks > Issue Votre demande est maintenant valide

6. Installation du certificat

Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise

Cliquer sur View the status

Cliquez sur Install the certificate

7. Copie du certificat dans un autre magasin

Start > Run > MMC > OK

File > Add/Remove Snap-in

Certificates > Add > My user account > OK

Certificates > Add > Computer account > Local computer > OK

Ok Vous obtenez ceci :

Droulez Certificate Current User > Personal afin de slectionner votre certificat rcemment install

Clic droit All tasks > Export

Next

Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish

Droulez Certificate (Local computer) > Personal > Certificates

Clic droit sur Certificates >All tasks > Import

Next

[Emplacement certificat] > Next

Votre mot de passe > Next > Next > Finish

On supprime le certificat commenant par le

III. Configuration de Network Policy and Access services

Sur VPN1

1. Installation du rle

Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur

Add roles ( droite)

2. Dmarrage du serveur RRAS Lors du dploiement dun VPN, vous avez le choix dutiliser 2 cartes rseaux. Cela implique bien sr davoir 2 sous-rseaux disposition, et galement de rajouter le rle Routage sur votre serveur VPN1. Lavantage de cette solution est que la carte rseau du rseau public est totalement isole par rapport votre rseau interne. Dans mon cas et dans ce tuto, nayant pas besoin dune telle configuration (et surtout nayant quun seul rseau), jai tout simplement utilis une seule carte rseau (pas de routage donc).

Lancer Routing and remote access

Clic droit sur [nom_votre_serveur] > Configure and enable

Lassistant suivant apparat :

3. Configuration du firewall

Ouvrez le gestionnaire de firewall avanc

Bloquez les rgles entrantes (inbound rules) existantes suivantes par scurit (le service Pare-feu / Windows Firewall doit bien entendu tre activ) :

o L2TP-in o SSTP-in

Double clic sur la rgle > Bloquer

4. Configuration des rgles de filtrage du serveur NPS

Lancer la console NPS

Aller dans Policies > Connection Requet Policies

Supprimer toutes les rgles existantes (clic droit > Supprimer)

Ensuite, crez une nouvelle rgle : clic droit > Connection Request Policies > New

Lassistant suivant se lance :

Tapez un nom pour votre stratgie : Accs distant VPN-PPTP-EAP

Type of network > Remote Access Server (VPN-Dial up)

Next

Vous obtenez la page suivante :

Add

Ajoutez ensuite les rgles suivantes dans la liste : o Framed Protocol : PPP o NAS port type : Virtual VPN o Tunnel Type : PPTP

Rpondez ensuite Next toutes les options, puis sur terminer

Vous obtenez un rsultat semblable cela :

Il faut maintenant crer une stratgie rseau:

Aller dans Policies > Network Policies

Supprimer toutes les rgles existantes (clic droit > Supprimer)

Ensuite, crez une nouvelle rgle : clic droit > Network Policies > New

Lassistant suivant se lance :

Add

Ajoutez ensuite les rgles suivantes dans la liste : o Users groups : groupe AD donc VPN-user est membre

o Day and time restrictions (optionnel)

Rpondez ensuite Next toutes les options, puis sur terminer

Vous obtenez un rsultat semblable cela :

Une fois votre Network Policies cr, clic droit sur celle-ci, puis Proprits

Allez dans longlet Constraints

Cliquez sur Add puis choisissez loption Protected EAP (PEAP)

Cliquez sur OK, puis encore sur OK

Lancer ensuite Routing and remote access

Clic droit sur [nom_votre_serveur] > All tasks > Restart

Votre serveur NPS est dornavant oprationnel.

IV. Ouverture du port 1723 sur votre box/routeur Pour vous connecter depuis lextrieur, vous devez ouvrir les ports 1723 en TCP sur votre routeur et les rediriger vers lIP interne du serveur VPN1. Je vous laisse chercher sur internet pour savoir comment ouvrir le port selon votre type de box/routeur.

V. Configuration du poste CLIENT1

1. Installation du certificat

Depuis le poste CLIENT1, allez sur le site http://nom_serveur_VPN1/certsrv/en-US via IE

Download a CA certificate

Download a CA certificate

Ouvrir > Installer le certificat

Suivant > Suivant > Terminer

2. Copie du certificat dans un autre magasin

Start > Run > MMC > OK

File > Add/Remove Snap-in

Certificates > Add > My user account > OK

Certificates > Add > Computer account > Local computer > OK

Ok

Vous obtenez ceci :

Certificats utilisateur local > Autorits de certification intermdiaire > Certificats

Clic droit sur votre certificat > Copier

Certificats (ordinateur local) > Autorits de certification racine de confiance > Certificats

Clic droit > Coller

3. Problme avec IP dynamique Si vous avez la chance davoir une IP fixe (vous avez tout compris), alors lentre de votre fichier HOST naura besoin dtre modifie quune seule fois. En revanche, si comme moi vous disposez dun serveur avec une IP dynamique vous allez vous heurter au problme suivant :

Vous ne pourrez pas connatre votre IP distance car celle-ci aura change aprs le redmarrage de votre box/routeur

Pour pallier ce problme, jai cherch sur le net et jai trouv un logiciel fournit par DynDNS que vous installez sur votre serveur et qui met jour votre IP avec votre nom de domaine. Mais attention, cela nest pas gratuit et il existe plusieurs contraintes. Il faut :

Crer un compte sur DynDNS (gratuit) ici

Sabonner au service Custom DNS ici pour 30$ /an (active le service permettant de mettre jour son IP dynamique)

Dposer un nom de domaine ici pour 15 $ / an

Dposer un nom de domaine gratuit DynDNS (domaine.dyndns.com) De plus vous devrez tlcharger le logiciel DynDNS Update Client ici. Une fois lapplication installe sur votre serveur VPN, vous vous identifiez et automatiquement lapplication se chargera dassocier votre nom de domaine avec votre IP dynamique. Pratique non ? En voici un aperu :

Astuce Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de dposer un nom de domaine gratuit de type domaine.dyndns.com et le tour est jou. Votre routeur (et non plus votre serveur) se chargera dactualiser votre nom de domaine avec votre IP.

4. Cration dune connexion VPN Depuis le Centre de rseau et partage, cliquez sur :

Connexion votre espace de travail

Utilisez ma connexion Internet (VPN)

Remplir les champs nom dutilisateur et mot de passe avec le compte AD client-vpn cr auparavant.

Crer

Revenez ensuite au Centre de rseau et partage, et cliquez en haut gauche sur Modifier les paramtres de la carte

Clic droit sur la connexion VPN rcemment cre (VPN PPTP EAP) > Proprits

Vrifiez que vous avez bien mis lIP public de votre serveur dans longlet Gnral

Dans le menu droulant de longlet Scurit choisissez Protocole PPTP et dans lapart Authentification du dessous choisissez Microsoft : PEAP

Toujours dans longlet Scurit cliqu sur Proprits

Cochez alors la case correspondant au nom de votre certificat

Cliquez sur OK puis encore sur OK

Votre VPN PPTP-EAP est prt

PS : il nest pas ncessaire de saisir le domaine

VI. Erreurs et problmes rencontrs Les erreurs suivantes sont celles que jai pu rencontrer lors de linstallation du VPN PPTP-EAP. Certaines mont oblig passer pas mal de temps sur internet la recherche dune solution. Jespre donc quelles vous seront de grandes utilits. Si une erreur nest pas rpertorie ici, reportez-vous aux sites cits au dbut dans la partie Sources . Attention la liste ci-dessous nest pas exhaustive.

1. La connexion a t interdite par une stratgie Erreur : 812

Votre stratgie NPS bloque la connexion. Rfrez-vous au paragraphe III.4. pour configurer vos rgles de scurits NPS

correctement.

2. La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le serveur [] ne correspond pas aux paramtres

Erreur : 919

La mthode dauthentification de votre poste client ne correspond pas celles acceptes par le serveur

Allez dans Routing and remote access > clic droit [serveur] > Properties > Security > Authentification Methods et slectionnez la case approprie.

Pour informations le VPN SSTP utilise la mthode MS-CHAP v2 et le VPN PPTP-EAP la mthode Extensible authentification protocol (EAP)

3. La connexion de rseau [] na pas pu tre tablie. Cet incident se produit [] lorsque votre serveur VPN nest configur pour permettre les paquets du protocole GRE

Erreur : 806

Erreur ct client

Erreur ct serveur

Le protocole GRE est bloqu par un pare-feu ou un routeur Vrifier que le firewall est bien configur selon le point III.3 Vous essay de vous connecter via votre tlphone en modem. Rien faire, le

protocole GRE est bloqu par les oprateurs tlphoniques Certains FAI bloquent galement le protocole GRE

4. Les informations didentification fournies par le serveur

Vous navez pas indiqu le bon certificat lors de la cration du VPN Vrifiez que vous avez bien suivi les tapes du point V.4

VII. Conclusion Voil, votre VPN PPTP-EAP est prt. Vous pouvez dornavant vous connectez chez vous depuis nimporte quel endroit, du moment que vous avez un accs internet et que les ports [1723] pour PPTP et [43] pour GRE (change de clefs) ne sont pas bloqus. Et nessayez pas de vous connecter via votre tlphone en tant que modem, les oprateurs bloquent le protocole GRE [43].

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante : michel_de A-R-0-B-A-5 hotmail . com

Soyez-en dores et dj remerci

SOURCESI. Installation de DC11. Rles installer (non dtaill)2. Cration dun groupe de scurit ddi au VPN3. Cration dun compte utilisateur ddi au VPN4. Attribution dune IP statique

II. Configuration de Active Directory Certificate Services 1. Ajout du rle Active Directory Certificate Services :2. Configuration dInternet Explorer3. Activation du site de distribution des certificats sous IIS 7.54. Demande de certificat5. Validation du certificat6. Installation du certificat7. Copie du certificat dans un autre magasin

III. Configuration de Network Policy and Access services 1. Installation du rle2. Dmarrage du serveur RRAS3. Configuration du firewall4. Configuration des rgles de filtrage du serveur NPS

IV. Ouverture du port 1723 sur votre box/routeurV. Configuration du poste CLIENT11. Installation du certificat2. Copie du certificat dans un autre magasin3. Problme avec IP dynamique4. Cration dune connexion VPN

VI. Erreurs et problmes rencontrs1. La connexion a t interdite par une stratgie2. La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le serveur [] ne correspond pas aux paramtres3. La connexion de rseau [] na pas pu tre tablie. Cet incident se produit [] lorsque votre serveur VPN nest configur pour permettre les paquets du protocole GRE4. Les informations didentification fournies par le serveur

VII. Conclusion